Azért szerintem Csab alapvető kiindulási feltétele, hogy a CAkba való trust nem kellene, hogy magától érthetődő legyen, az egyáltalán nem egy ostoba gondolat. Az egész környékének messze az a legbüdösebb része ez a trusted third party. A trustedből ugye következik, hogy hát ott nem technikai garancia van, hanem bizalom, hogy a processzek megfelelőek, és cserkész becsszó, hát HSM!. In reality meg a default trust storeok meg tele vannak egy vödör olyan dologgal, amiben valójában miért is akarnék én megbízni? Pl Government of Turkey, Kamu Sertifikasyon Merkezi (Kamu SM) , hát még a nevében is benne van, hogy kamu :D és hát viccet félretéve, miért akkora alusipka, ha én nem akarok megbízni mindenféle komcsi autoriter (vagy agresszív demokrata, izléstől függően, tök mindegy) államban? Eldönti a jeditanács, hogy ezek a jók, azt szevasz. És persze, az odamegyek bedugom, az naív, cserébe az, hogy simán lehet intermediate CAja (vagy akár root is röhögve, miért ne lehetne fedőszerv) állami szereplőnek azért egyáltalán nem irracionális gondolat. Az is tény, hogy elég sok helyen megvan az infrastruktúra, hogy forgalmat tereljenek el (itthon a fogadós oldalakkal tolták át, hogy a szolgáltatóknak át kell venni állami bgp hirtetéseket), szóval hát na.
Ráadásul a CAknak adott trust carte blanche? Tudom, tudom, de hát cert transparency. Ami a gyakorlatban azért mégis csak azt jelenti, hogy bárki állíthat ki, max észreveszem, (ha figyelem, meg ki tudom mazsolázni később analízisnál, ha nem figyeltem), esetleg most már a chrome hisztik miatta. Aminek egyébként az a vége, hogy nahát nahát, minden certet be kell írni a közösbe, így biztos ami tuti, nem fog lemaradni róla a gugli (meg az összes blackhat se, hogy most kell gyorsan ránézni, amíg még nem biztos, hogy össze van rakva rendesen :) ), ki kell exposeolni egy csomó olyat, amit egyébként valójában fölösleges lenne, mert rohadtul nincs szükség az egészhez trusted 3rd partyra.
És az a vonal pedig egyre gyengébb pl ettől, hogy én megoldjam házon belül magamnak, pedig de facto az lenne a biztonságosabb. A TTP szükséges rossz valójában, hogy valamennyire kényelmesen tudjon mégiscsak működni az egész. De valamiért olyat nem lehet konfigolni, hogy márpedig az a CA ilyen domain patternekre jó, nem mondhatom, hogy a cég saját CAja csak a .cegdomain-re fogadható el. Nem mondhatom, hogy ezt a konkrét CA-t pineljük be. Nem mondhatom, hogy pontosan ezt az egy certet pineljük be.
Mindez megfejelve olyan kriptikus faszom hibaüzenetekkel és nem ember nyelven adott TLS error pagekkel, ami az egész szakma szégyene.
Szóval én azért nem dobálnám olyan nagy lendülettel a hülye vagy követ, akkor se, ha aztán a hogyan kell csinálni rész kicsit egyszerűbb Csab fejében, mint a valóság.